Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Microsoft 365 (anciennement Office 365) est une suite de productivité cloud comprenant Outlook, Word, Excel, PowerPoint, Teams, OneDrive et SharePoint. La plateforme traite d'importants volumes de données personnelles, utilise des cookies et de la télémétrie, et transfère des données à l'international via l'infrastructure mondiale de Microsoft, nécessitant une conformité RGPD via l'Addendum de protection des données (DPA) et les Clauses Contractuelles Types.
Microsoft 365 (anciennement Office 365) est une suite cloud de productivité et de collaboration développée par Microsoft. Elle comprend Outlook, Word, Excel, PowerPoint, Microsoft Teams, OneDrive, SharePoint et un nombre croissant de services comme Viva Insights, Loop et Copilot. Les organisations l''utilisent pour la messagerie, la création de documents, le stockage de fichiers, la visioconférence, les portails intranet et l''automatisation des flux de travail. Lorsque des composants Microsoft 365 sont intégrés sur des sites web publics (pages SharePoint, Microsoft Forms, liens Teams, tableaux de bord Power BI), ils introduisent des considérations de vie privée pour les opérateurs de sites soumis au droit européen de la protection des données.
Microsoft 365 dépose divers cookies pour l''authentification, la gestion des sessions, la sécurité et l''analyse. Les cookies principaux incluent MUID (identifiant machine unique, 13 mois), ESTSAUTH et ESTSAUTHPERSISTENT (jetons d''authentification Azure AD), AADSSO (état de connexion unique), MC1 (analyse Microsoft, 13 mois) et MS0 (identification de session). Microsoft collecte également des données de télémétrie incluant des données de diagnostic requises et optionnelles couvrant les habitudes d''utilisation, les métriques de performance et les rapports d''erreurs. Lorsque des services M365 sont intégrés sur des sites externes, des cookies provenant de domaines tels que login.microsoftonline.com, sharepoint.com et office.com peuvent être déposés dans les navigateurs des visiteurs.
Microsoft 365 soulève des considérations RGPD significatives en raison de l''étendue et de la sensibilité des données personnelles traitées. Microsoft agit en tant que sous traitant dans le cadre de l''Addendum de protection des données (DPA), qui intègre les Clauses Contractuelles Types (CCT) et des conditions spécifiques au RGPD de l''UE. En novembre 2025, le commissaire hessois à la protection des données a publié un rapport de 137 pages confirmant que Microsoft 365 peut fonctionner dans le respect du RGPD lorsqu''il est correctement configuré, à l''issue d''un examen de trois ans. Le Contrôleur européen de la protection des données (CEPD) a également clôturé ses procédures contre l''utilisation de M365 par la Commission européenne en juillet 2025. Cependant, la conformité reste une responsabilité partagée : les organisations doivent configurer les paramètres de télémétrie, la conservation des données et les contrôles d''accès de manière appropriée.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La base juridique dépend de l''utilisation spécifique de Microsoft 365. Pour l''utilisation interne par les employés, l''exécution du contrat (Art. 6(1)(b)) ou l''intérêt légitime (Art. 6(1)(f)) s''appliquent généralement. La collecte de télémétrie par Microsoft peut reposer sur l''intérêt légitime pour les données de diagnostic requises, tandis que les données de diagnostic optionnelles doivent être désactivées sauf consentement obtenu. Lorsque des composants M365 sont intégrés sur des sites web publics (pages SharePoint, Microsoft Forms, rapports Power BI), le consentement explicite au titre de l''Art. 6(1)(a) du RGPD et de la directive ePrivacy est requis avant le dépôt de cookies non essentiels. Les organisations doivent déployer une plateforme de gestion du consentement pour ces intégrations.
Microsoft exploite un réseau mondial de centres de données et peut traiter les données M365 aux États Unis, dans l''UE et en Asie Pacifique. Pour répondre aux exigences de transfert du RGPD, Microsoft fournit le DPA avec les CCT et a mis en place l''EU Data Boundary, qui garantit que les données client principales des tenants éligibles sont stockées et traitées au sein de l''UE et de l''AELE. Microsoft est participant certifié au Data Privacy Framework UE États Unis. Toutefois, certains flux de données tels que les demandes de support et une partie de la télémétrie de sécurité peuvent encore impliquer un traitement aux États Unis. Les organisations doivent examiner les paramètres de résidence des données de leur tenant, confirmer l''application du DPA et documenter ces garanties dans leurs Registres des activités de traitement.
Pour atteindre la conformité RGPD avec Microsoft 365, les organisations doivent suivre ces étapes clés. Premièrement, examiner et accepter l''Addendum de protection des données dans le Centre d''administration Microsoft 365. Deuxièmement, configurer les paramètres de données de diagnostic au niveau minimum requis (Sécurité uniquement ou Requis). Troisièmement, activer l''EU Data Boundary si votre tenant est éligible. Quatrièmement, réaliser une AIPD couvrant tous les services M365 utilisés en s''appuyant sur le modèle AIPD et la matrice des éléments de service de Microsoft. Cinquièmement, déployer une bannière de consentement aux cookies sur les sites web publics intégrant des widgets M365. Sixièmement, configurer les politiques de conservation et les règles de prévention de perte de données (DLP) via le portail de conformité Microsoft Purview. Septièmement, restreindre l''accès des applications tierces via AppSource. Huitièmement, configurer la journalisation d''audit et examiner régulièrement le journal d''audit unifié. Enfin, former le personnel et utiliser les ressources du M365 Kit de Microsoft.
Les sites web utilisant Microsoft 365 doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est fortement recommandée pour les déploiements de Microsoft 365 en raison du traitement à grande échelle de données personnelles via la messagerie (Outlook/Exchange), le stockage (OneDrive/SharePoint), la collaboration (Teams) et les applications de productivité. Les points clés à évaluer comprennent : le volume et la sensibilité des données traitées, la collecte de données de télémétrie et de diagnostic par Microsoft, les transferts internationaux de données, les risques de surveillance des employés si Viva Insights est activé, les politiques de conservation et de suppression, les intégrations d'applications tierces via AppSource, et l'adéquation du DPA et des CCT. Le commissaire hessois à la protection des données (Allemagne) a publié en novembre 2025 un rapport de 137 pages confirmant que M365 peut fonctionner dans le respect du RGPD lorsqu'il est correctement configuré.
Exemple de texte de consentement
Ce site utilise des services Microsoft 365 intégrés (notamment SharePoint, Forms et des widgets Teams) qui peuvent déposer des cookies et traiter des données personnelles sur les serveurs de Microsoft, y compris des serveurs situés en dehors de l'Espace économique européen. Ces cookies permettent l'authentification, la gestion des sessions et le fonctionnement des services. En acceptant, vous consentez à ce traitement conformément à l'Addendum de protection des données de Microsoft. Vous pouvez retirer votre consentement à tout moment via nos paramètres de cookies.
Domaines tiers contactes
login.microsoftonline.comoutlook.office.comsharepoint.comteams.microsoft.comonedrive.live.comoffice.comgraph.microsoft.comadmin.microsoft.comcompliance.microsoft.comforms.office.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| MUID | analytics | 13 months | Microsoft unique machine identifier used to track user interactions across Microsoft properties and for analytics. |
| ESTSAUTH | authentication | Session | Azure Active Directory authentication token that validates the user login session for Microsoft 365 services. |
| ESTSAUTHPERSISTENT | authentication | 90 days | Persistent Azure AD authentication token enabling the Keep me signed in functionality across browser sessions. |
| AADSSO | authentication | Session | Stores the single sign on state for Azure Active Directory, allowing seamless access across M365 applications. |
| MC1 | analytics | 13 months | Microsoft analytics cookie tracking user interactions with Microsoft services for usage reporting and improvement. |
| MS0 | functionality | Session | Session identification cookie for maintaining user state within Microsoft 365 web applications. |
| MSFPC | analytics | 13 months | Microsoft first party cookie used for analytics and site usage measurement across Microsoft online properties. |
| SignInStateCookie | authentication | Session | Tracks the authentication state during the login flow to prevent login replay attacks and ensure session integrity. |
Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.
Microsoft 365 dépose plusieurs cookies dont MUID (identifiant machine unique, 13 mois), ESTSAUTH et ESTSAUTHPERSISTENT (jetons d'authentification Azure AD), AADSSO (état de connexion unique), MC1 (analyse Microsoft, 13 mois) et MS0 (identification de session). Microsoft collecte également des données de télémétrie couvrant les habitudes d'utilisation et les métriques de performance. Lorsque des services M365 sont intégrés sur des sites externes, des cookies provenant de login.microsoftonline.com, sharepoint.com et office.com peuvent être déposés.
Pour l'utilisation interne par les employés, le consentement n'est généralement pas requis. En revanche, lorsque des composants M365 (pages SharePoint, Microsoft Forms, tableaux de bord Power BI) sont intégrés sur des sites web publics, le consentement préalable au titre de la directive ePrivacy est requis avant le dépôt de cookies non essentiels. La collecte de données de diagnostic optionnelles nécessite également un consentement ou doit être désactivée.
L'utilisation de productivité par les employés repose sur l'exécution du contrat (Art. 6(1)(b)) ou l'intérêt légitime (Art. 6(1)(f)). La collecte de données de diagnostic requises est couverte par l'intérêt légitime. Les données de diagnostic optionnelles doivent être désactivées ou soumises au consentement. Les intégrations publiques nécessitent le consentement explicite (Art. 6(1)(a)). Chaque activité de traitement doit être documentée dans le registre des activités de traitement.
Oui. Microsoft exploite des centres de données mondiaux et peut traiter des données aux États Unis. Les transferts sont couverts par le DPA intégrant les CCT. Microsoft a mis en place l'EU Data Boundary pour les tenants éligibles et est certifié au titre du Data Privacy Framework UE États Unis. Toutefois, certains flux (demandes de support, télémétrie de sécurité) peuvent impliquer un traitement aux États Unis. La portée extraterritoriale du CLOUD Act américain doit être évaluée.
Une AIPD est fortement recommandée et probablement requise au titre de l'Art. 35 du RGPD. La plateforme traite de grands volumes de données personnelles. Microsoft fournit un modèle d'AIPD et une matrice des éléments de service. Le commissaire hessois à la protection des données a confirmé en novembre 2025 que M365 peut être conforme lorsqu'il est correctement configuré, mais chaque organisation doit évaluer les risques spécifiques à son déploiement.
Examinez et acceptez le DPA dans le Centre d'administration. Configurez les données de diagnostic au minimum requis. Activez l'EU Data Boundary si éligible. Réalisez une AIPD avec les modèles Microsoft. Déployez des bannières de consentement pour les intégrations publiques. Configurez la conservation et les règles DLP via Microsoft Purview. Restreignez les applications tierces. Activez la journalisation d'audit. Formez le personnel aux principes de protection des données.
Les alternatives comprennent Nextcloud (collaboration open source auto hébergée), LibreOffice Online (suite bureautique open source), Tutanota ou ProtonMail (messagerie axée sur la confidentialité), CryptPad (collaboration chiffrée) et Infomaniak kSuite (productivité hébergée en Suisse). Jitsi Meet peut remplacer Teams pour la visioconférence. Chaque alternative doit être évaluée pour sa propre conformité RGPD.
Listez tous les cookies déposés par les services M365 intégrés avec leurs noms, finalités, durées et domaines d'origine (login.microsoftonline.com, sharepoint.com, office.com, teams.microsoft.com). Précisez si chaque cookie est strictement nécessaire ou nécessite le consentement. Documentez le rôle de Microsoft en tant que sous traitant, référencez le DPA et les CCT, décrivez les données de télémétrie collectées. Fournissez des instructions claires pour gérer le consentement.